NPM saugykloje yra privalomas dviejų veiksnių autentifikavimas paskyroms, kuriose yra 500 populiariausių NPM paketų. Priklausomų paketų skaičius buvo naudojamas kaip populiarumo kriterijus. Išvardytų paketų prižiūrėtojai galės atlikti su modifikavimu susijusias operacijas saugykloje tik įjungę dviejų veiksnių autentifikavimą, kuriam reikalingas prisijungimo patvirtinimas naudojant vienkartinius slaptažodžius (TOTP), sugeneruotus tokių programų kaip „Authy“, „Google Authenticator“ ir „FreeOTP“ arba aparatinės įrangos. raktai ir biometriniai skaitytuvai, palaikantys WebAuth protokolą.
Tai trečiasis NPM apsaugos nuo paskyros kompromiso stiprinimo etapas. Pirmasis etapas apėmė visų NPM paskyrų, kuriose neįjungtas dviejų veiksnių autentifikavimas, konvertavimą, kad būtų galima naudoti išplėstinį paskyros patvirtinimą, kai bandant prisijungti prie npmjs.com arba atlikti autentifikuotą operaciją npm sistemoje reikia įvesti vienkartinį el. paštu išsiųstą kodą. naudingumas. Antrajame etape 100 populiariausių paketų buvo įjungtas privalomas dviejų veiksnių autentifikavimas.
Prisiminkime, kad 2020 m. atlikto tyrimo duomenimis, tik 9.27% paketų prižiūrėtojų naudojo dviejų veiksnių autentifikavimą, kad apsaugotų prieigą, o 13.37% atvejų registruodami naujas paskyras kūrėjai bandė pakartotinai panaudoti pažeistus slaptažodžius, kurie pasirodė žinomuose. slaptažodžių nutekėjimas. Slaptažodžių saugos peržiūros metu 12 % NPM paskyrų (13 % paketų) buvo pasiekta dėl nuspėjamų ir nereikšmingų slaptažodžių, tokių kaip „123456“, naudojimo. Tarp probleminių buvo 4 vartotojų paskyros iš 20 populiariausių paketų, 13 paskyrų, kurių paketai atsisiunčiami daugiau nei 50 milijonų kartų per mėnesį, 40 su daugiau nei 10 milijonų atsisiuntimų per mėnesį ir 282 su daugiau nei 1 milijonu atsisiuntimų per mėnesį. Atsižvelgiant į modulių įkėlimą išilgai priklausomybių grandinės, nepatikimų paskyrų pažeidimas gali paveikti iki 52 % visų NPM modulių.
Šaltinis: opennet.ru